Reviewers: Prashanth Kamath, Phil Sohn, (Ben Smith), Sue Hotelling, Jules, Brendon, Ian, Chuck, IPTV and Media Center people

全文

(1)

効果的なセキュリティ測定基準とは

" 効果的なセキュリティ プラクティス " シリーズ

"投資回収率 (ROI: Return on Investment)" における "回収 (Return)" を算出するには、獲得し た利益を正確に評価する必要がありますが、有効な IT セキュリティ測定基準が存在しないこと から、セキュリティ専門家にとっても一筋縄ではいかない作業になっています。このホワイト ペー パーでは、業界で採用されている画期的なセキュリティ投資回収率の推計方法について見ていき ます。さまざまな業種の最高セキュリティ責任者 (CSO: Chief Information Officer)、最高情報セキ ュリティ責任者 (CISO: Chief Information Security Officer)、などのセキュリティ責任者へのインタビ ューを基に、IT セキュリティ リスクを的確に測定し、セキュリティ投資がもたらす財務上のメリット を報告するために各企業が採用しているいくつかの革新的なアプローチを紹介します。

Herbert H. Thompson 博士

People Security チーフ セキュリティ ストラテジスト

(2)

このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。マ イクロソフトは変化する市場状況に対応する必要があるため、このドキュメントは、記載されている内容の実現に関するマイク ロソフトの確約とはみなされないものとします。また、発行日以降における、このドキュメントに記載されている情報の正確性 に関して、マイクロソフトはいかなる保証もいたしません。

お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかな る部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、

複製または譲渡することは禁じられています。ただしこれは、著作権法上のお客様の権利を制限するものではありません。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産 権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特 許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。

Microsoft は、米国 Microsoft Corporation およびその他の国における登録商標または商標です。その他、記載されている

会社名および製品名は、各社の商標および登録商標です。

Microsoft Corp. • One Microsoft Way • Redmond, WA 98052-6399 • USA

このドキュメントは、情報の提供のみを目的としています。明示または黙示にかかわらず、このドキュメントに関してマイクロソ フトはいかなる責任も負わないものとします。© 2010 Microsoft Corp. All rights reserved

(3)

1 効果的なセキュリティ基準とは

信頼できるコンピューティング マイクロソフト

はじめに

情報セキュリティは状況が目まぐるしく変化する分野です。関連法規が頻繁に改正され、技術革 新も絶えることがなく、攻撃者たちはさらに洗練された手口を使うようになってきています。このよ うに混乱した状況の下、セキュリティの現場担当者は、より柔軟な思考で困難な問題の解決に取 り組むことが求められています。しかし、セキュリティ測定基準、セキュリティ リスク管理フレーム ワーク、セキュリティ ポリシーといった問題への取り組みが互いに共有されずに進められた結果、

こうした取り組みにおけるイノベーションの大部分は企業の内部に埋もれてしまっています。この ような情報の不均衡に対応するため、マイクロソフトでは、重要なセキュリティ イノベーションの共 有を目的とするホワイト ペーパー シリーズを立ち上げました。このシリーズで扱うトピックは、マ イクロソフト CSO 委員会の参加者が提供します。CSO (Chief Security Officer: 最高セキュリティ責 任者) 委員会は、マイクロソフトの "信頼できるコンピューティング" グループ (Trustworthy

Computing Group) の顧問を務める大手グローバル企業のセキュリティ責任者で構成され、年 2

回の会合を開催しています。

私たちの目的は、きわめて困難なセキュリティ問題に対する "第一線" のプラクティスを広く共有 することです。ソート リーダーへのインタビューや議論および討論を重ねてきた結果、効果的なプ ラクティス集がまとまりつつあります。やるべき課題は山積みですが、このシリーズが議論の活性 化と、IT セキュリティ分野における情報共有のさらなる促進につながれば幸いです。

(4)

信頼できるコンピューティング マイクロソフト

概要

悪影響をもたらすセキュリティ インシデントの発生を抑止することが明白なビジネス ケースとなる のは、抑止にかかるコストがインシデントによる被害額を下回る場合です。理論としてはシンプル ですが、現実的には、インシデントや攻撃が発生するかどうかが事前にわかるわけではなく、被害 額の数字も簡単にはじき出すことはできないため、抑止策の効果を明確に見極めることはできま せん。また、未知の予期せぬ攻撃や攻撃手法が登場しており、問題はさらに複雑になっています。

このホワイト ペーパーでは、Fortune 500 企業のセキュリティ責任者/セキュリティ アーキテクトた ちとのインタビューと議論から得られた見地を基に、今日の大手グローバル企業が採用している、

セキュリティ投資価値を評価するための効果的なプラクティスについて見ていきます。このホワイ ト ペーパーを、革新的なセキュリティ評価方法の確立に向けた、セキュリティ関係者間の活発な 議論にお役立てください。

今回話を伺ったセキュリティ関係者の多くが、インフラストラクチャ セキュリティ強化の固定予算 はなく、プロジェクトの実施が必要になった時点でその都度予算を確保するとしています。プロジェ クトの予算確保が難しくなってきており、ロードマップに含まれないセキュリティ プロジェクトは、そ の多くが、何らかのセキュリティにかかわる事態が発生した後か、正当化の根拠となるようなイン シデントの後に実施されているというのが現状です。

これまでは、予算を確保するには発生するかどうかわからないような攻撃に対して防衛策を講じ るよう、セキュリティ責任者がビジネス オーナーを説得しなければなりませんでした。つまり、セキ ュリティ コストの多くは事後対応的なもので、セキュリティ インシデントやセキュリティ侵害により 現実的な被害が発生したのを受けて投資が行われてきたのです。たとえば、Slammer や Blaster といったワームの脅威を目の当たりにした後では、露わになった脆弱性への対応やネットワーク セキュリティ インフラストラクチャ強化を行うにあたって ROI の計算を行っているような企業はほ とんどありませんでした。ファイアウォールなど、ビジネスを運営していく上で当然のコストとして認 識されるようになったセキュリティ技術もありますが、リスクの測定とセキュリティ投資の確保には、

依然として苦労を強いられているのが現状です。

振り返って評価することが難しいという点も、セキュリティ予算の確保をとても困難なものにしてい ます。これはたとえるなら、窓やドアに防犯用の鉄格子を設置し、被害もなく 1 年が経った後で、

その投資価値を評価することに似ています。もっと安価な鉄格子でも家を守ることができたのか、

あるいはそもそも侵入しようとした者がいなかったのかどうかは誰にもわかりません。これと同様 に、IT セキュリティによって未知のインシデントの発生を完全に防ぐことができた場合も、そのセ キュリティ対策の価値を正確に測定することは困難です。こうした状況下で、セキュリティに詳しく ない経営陣から「セキュリティ投資を行ったプロセスやツールによって回避することができたインシ デントの数は?」というような質問が投げかけられた場合、測定基準が存在せず、回避したインシ デントに関するデータも漠然としていることから、このセキュリティ投資は余計だという結論になっ ても不思議ではありません。この過剰投資という認識により、本来不可欠であるはずのセキュリテ ィ強化の予算が制限されてしまうことが頻繁に起きています。

IT セキュリティ インフラストラクチャには、米国企業改革法などの法規制によって整備が義務付け られている領域があります。同様に、PCI DSS (Payment Card Industry Data Security Standard) など のさまざまな業界標準は、さらに追加のインフラ セキュリティ整備を義務付けています。こうした法 規制や標準により、IT セキュリティの経済性に変化が生じています。システムに対する攻撃の有無 にかかわらず遵守状況が監査されるため、急遽対応が必要です。コンプライアンス上の必要から 行われるセキュリティ強化は、ビジネスを運営していく上で不可避のコストとなっています (インター

(5)

3 効果的なセキュリティ基準とは

信頼できるコンピューティング マイクロソフト

ネット ワームが猛威を振るったことがその背景にあります)。インタビューしたセキュリティ責任者の 何人かは、コア コンプライアンスとセキュリティの乖離現象が生じていると指摘しています。必要不 可欠なセキュリティ統制であるにもかかわらず、コンプライアンス要件に含まれていないという理由 から、導入するにあたって正当化の手続きが必要になるという齟齬が生じています。

話を伺った経営幹部の考えは、リスク削減重視からコスト削減重視に傾いているようでした。一部 の回答者は、リスク管理フレームワークをアプリケーションやプロセスなどのリスク ベンチマーク の設定に活用していました。このデータを各事業部に提供することで、事業部間の横並び意識を 利用して組織内全体のモチベーションを高めることができます。セキュリティ/リスク面で他より大 きく劣っている領域を特定できれば、リスク削減のプラクティス/ツールを導入する強い契機とする ことができます。

回答者の大半は、リスクのしきい値レベルを定めていませんでした。これは、ビジネス オーナー の意思決定に役立つようリスクを可視化することが自らの役割であると考えているためです。彼 は、リスクの削減に取り組み、残存するリスクを特定してその実態を可能な限り正確に伝え、的確 なビジネス意思決定に導くことを自身の重要な職務の 1 つとして認識しています。

(6)

信頼できるコンピューティング マイクロソフト

導入事例

セキュリティ リスクを定量化することが難しいビジネス分野では、投資の正当化材料としてリスク の存在を指摘することから、ハードウェア コスト削減にもつながるセキュリティ強化への投資を積 極的に検討する方向に流れがはっきりと変わりつつあります。以下の事例では、投資前および投 資後の正当化を可能にする、測定基準の新しい活用方法が示されています。

事例 1: 資格情報を強化して調査費用を削減

ある大手出版社では、サブスクリプション ベースの情報ポータルのユーザーに発行する認証情 報の強化に取り組んでいました。ユーザーの使用しているユーザー名/パスワードが簡単に推測 できる設定だったため、第三者によって情報が盗まれ、サービスが勝手に利用されて利益損失が 発生し、大きな懸念となっていました。これに対してセキュリティ強化策として、パスワードの複雑 度に関するポリシーを追加すると共に、ユーザーの IP アドレスのチェックなどを行うことにしまし た。これにより、技術への投資と、ユーザー (と IT サポート) の負担増加の両方が発生したこと になります。このセキュリティ投資を正当化するため、認証情報の悪用/盗難件数がどれだけ減少 したかを調査しました。調査には多額の費用がかかりますが、わずかでも件数が減少したことが 証明できれば、セキュリティ投資を事後的に正当化することができます。

事例 2: ドキュメントへのアクセスを統合して、データ漏洩のリスク (およびコスト) を削減

ある大手物流会社は、データ漏洩の回避策として、アクセスされなくなった保存ファイルと、さまざ まなユーザーがアクセス可能な複数のコピーがファイル サーバー上に点在するファイルを検索し、

見つかったファイルについて以下の点を検証しました。

作成日が特定の日付より古いかどうか。特定の日付以降、アクセスされていないかどうか。

システム上にコピーが存在するかどうか。

ファイルの "所有者" は誰か。

正規の所有者 (アクセス権の決定者) は誰か。

検証結果に基づいてアクセスされていない古いファイルをアーカイブし、重複したファイルをひとつ にまとめて、アクセス管理を強化しました。これにより、データ漏洩のリスクを大きく抑えることがで きただけでなく、データに正しい所有者/作成者を割り当てて、アクセス権を設定することができま した。このアプローチは意思決定者に受け入れられ、そのプロセスについても了解が得られました。

また、ディスクの使用量やファイル管理の手間を減らし、データ所有者の管理を一元化できる点も 認められました。

事例 3: 新たなセキュリティ統制を "滞留時間" でベンチマークする

"滞留時間 (Dwell Time)" は、攻撃者がシステムへのアクセス権 (または支配権) を持っている

期間を指します。この測定基準はさまざまな方法で利用できます。ここでは、大手軍需企業におけ る新たなセキュリティ統制の効果を測るベンチマークとしての使用例を紹介します。機器やネット ワークに何者かが侵入し、居座り続けた場合の影響を定量化するのは簡単ではありませんが、こ の測定基準を使うと、さまざまなセキュリティ技術 (およびセキュリティ ポリシーやセキュリティ プ ラクティス) のベンチマークを取得し比較することができます。この事例では、最も注視すべき指

(7)

5 効果的なセキュリティ基準とは

信頼できるコンピューティング マイクロソフト

標は滞在時間であると判断し、新しいセキュリティ技術 (ウイルス対策プログラムなど) のパイロ ット展開段階でこの指標を用いてソリューションの選別を行いました。その後、各ソリューションの 導入コスト、保守、ユーザーへの影響について比較検討しました。

(8)

信頼できるコンピューティング マイクロソフト

まとめ

このホワイト ペーパーでは、IT セキュリティの強化がもたらすメリットを測定して報告するために 各企業が採用している革新的な方法のいくつかについて見てきました。セキュリティ強化予算の 確保が依然として IT セキュリティの大きな課題となっています。セキュリティ強化への投資が、企 業の利益向上、コスト削減、リスク削減 (損失の回避) にどのように貢献するかを説明できれば、

予算枠を確保できるはずです。VISA PCI や米国企業改革法などの法規制や標準で対応が義務 付けられている要件へのセキュリティ投資は、リスク削減よりもコンプライアンスの側面が強くなり ます。一方、コンプライアンスとは関係のないセキュリティ予算は、その価値の測定が難しいこと から削減の対象となりやすい傾向が各企業に共通して見られるようです。IT セキュリティはその 予防的な性格から、その価値を証明することは事後的にも難しく、将来を見据えたセキュリティ投 資の正当化が困難であることは言うまでもありません。セキュリティ投資の多くは事後対応的に行 われ、インシデントが発生してしまってから、あるいは迫りくる脅威に直面して、はじめてセキュリテ ィ強化策が導入されるというのが現状です。さまざまな IT 分野のリスクを測定するために多くの 企業がリスク管理フレームワークを導入していますが、測定が困難な脅威に対してセキュリティ強 化の必要性を正当化しなければならないという明白な矛盾は依然として解消されていません。委 員会メンバーの回答から、多くの企業で "価値" 重視の IT セキュリティ測定基準が大きな進化 を遂げていることがわかっています。このホワイト ペーパーを契機に、こうしたイノベーションの共 有と理解が促進されることを期待しています。

(9)

7 効果的なセキュリティ基準とは

信頼できるコンピューティング マイクロソフト

付録 1: 質問調査の内容

このホワイト ペーパーを作成するにあたって、マイクロソフト CSO 委員会のメンバーに対するイ ンタビューを行いました。インタビューは、くだけた会話形式で行ったものもあれば、トピックに関し ての質問という形式で行ったものあります。回答者は、組織のセキュリティ運用を統括している IT セキュリティ分野のリーダーたちです。主な質問内容は以下のとおりです。

"内部リスク管理の成果をどのような方法で指標と関連付け、関係者に伝えていますか"

"セキュリティ領域における改善をどのように測定していますか。また、実際に改善が実現された

領域と、その測定方法を教えてください"

""阻止した攻撃の件数" のデータを IPS ログなどから収集し、ネットワーク セキュリティ ソリュー

ションの予算を確保するための説得材料として活用していますか"

"セキュリティ投資の測定方法を教えてください (他部門に倣う、前回の予算、リスク管理フレーム

ワークなど)"

"その測定方法はリスクを正しく反映していると思いますか"

"購入/導入すべきだと確信しているが、セキュリティ予算を確保することが難しい防御策はありま

すか。またその理由を教えてください。測定基準が存在しないことでしょうか"

Updating...

参照

Updating...

関連した話題 :

Scan and read on 1LIB APP